Anthropics Mythos-Modell: KI entdeckt Sicherheitslücken, die 27 Jahre unentdeckt blieben
Anthropics Mythos Preview findet tausende Zero-Day-Lücken in Betriebssystemen und Browsern — und wird trotzdem nicht öffentlich freigegeben. Was Project Glasswing bedeutet.
Die meisten KI-Ankündigungen folgen dem gleichen Muster: leistungsfähigeres Modell, neue Benchmark-Rekorde, breiterer API-Zugang. Anthropics Ankündigung von Mythos Preview am 7. April 2026 war anders. Das Unternehmen präsentierte ein Modell, das technisch einen deutlichen Schritt nach vorn darstellt — und entschied gleichzeitig, es nicht der Öffentlichkeit zugänglich zu machen. Stattdessen: eine gezielte Initiative, die Sicherheitslücken in kritischer Software schließen soll, bevor Angreifer sie ausnutzen können.
Das verdient eine genauere Betrachtung.
Was Mythos Preview ist — und was es nicht ist
Mythos Preview ist kein Spezialwerkzeug für Sicherheitsaufgaben, das Anthropic für Pentester gebaut hat. Es ist ein allgemeines Sprachmodell — entwickelt als nächste Generation der Claude-Linie mit verbesserten Fähigkeiten in Code, logischem Denken und Autonomie. Die außergewöhnliche Leistung bei Sicherheitsaufgaben ist keine absichtliche Eigenschaft, sondern eine emergente: Wenn ein Modell besser im Verstehen von Code und in autonomem mehrstufigem Denken wird, wird es automatisch auch besser darin, Schwachstellen in Code zu finden.
Anthropic beschreibt Mythos in einem technischen Bericht als „substantiellen Sprung in den Cybersecurity-Fähigkeiten der nächsten Modellgeneration” — ausgelöst durch „allgemeine Verbesserungen in Code, Reasoning und Autonomie”, nicht durch spezifisches Security-Training.
Das ist wichtig zu verstehen: Wir reden nicht über ein Nischenmodell für IT-Sicherheitsteams. Wir reden über eine allgemeine Fähigkeitssteigerung, deren Nebeneffekt zufällig eine der mächtigsten Sicherheitsforschungs-Plattformen ist, die je gebaut wurden.
Die Zahlen, die den Unterschied zeigen
Anthropic hat im technischen Bericht konkrete Tests veröffentlicht. Im Experiment gegen bekannte Schwachstellen in Firefox 147 — genauer gesagt in der JavaScript-Engine — wurden beide Modelle unter identischen Bedingungen getestet: Claude Opus 4.6, das aktuell breit verfügbare Modell, erstellte in mehreren hundert Versuchen 2 funktionierende Shell-Exploits. Mythos Preview: 181 erfolgreiche Exploits, dazu 29 weitere Versuche mit vollständiger Register-Kontrolle.
Das ist kein kleiner Unterschied. Das ist ein Qualitätssprung.
Noch deutlicher wird das bei Zero-Day-Lücken — also Schwachstellen, die zuvor noch niemandem bekannt waren. Mythos Preview hat laut Anthropic tausende solcher Lücken entdeckt: in Betriebssystemen, Webbrowsern, kryptografischen Bibliotheken und Virtualisierungssoftware. Darunter Fehler in OpenBSD, FFmpeg und dem Linux-Kernel, die 27 Jahre lang existierten und trotz ausgiebiger Tests, Fuzzing-Kampagnen und professioneller Code-Audits nie aufgefallen waren.
Das Modell kann dabei Angriffe selbstständig konstruieren, die weit über einfaches „Lücke finden” hinausgehen: mehrere Schwachstellen zu einer Angriffskette kombinieren, Schutzmechanismen wie KASLR (Kernel Address Space Layout Randomization — ein Mechanismus, der verhindert, dass Angreifer wissen, wo genau Betriebssystem-Code im Speicher liegt) umgehen, und komplexe Techniken wie JIT Heap Sprays ausführen — Methoden, die bisher erfahrene Sicherheitsforscher und viel Zeit erforderten.
Was früher Wochen dauerte, dauert mit Mythos Stunden.
Die Entscheidung, das Modell nicht zu veröffentlichen
Anthropic hat Mythos Preview anhand der eigenen Responsible Scaling Policy bewertet — einem internen Regelwerk, das definiert, ab welchen Fähigkeiten ein Modell besondere Vorsichtsmaßnahmen erfordert. Das Ergebnis: Mythos überschreitet definierte Schwellen im Bereich kritischer Cybersecurity-Fähigkeiten. Deshalb kein öffentlicher Zugang.
Das ist in der KI-Branche ungewöhnlich. Die vorherrschende Logik ist: veröffentlichen, Feedback sammeln, iterieren. Wer zu lange wartet, verliert Marktanteile. Anthropic geht den umgekehrten Weg: Das Modell existiert, seine Fähigkeiten werden transparent kommuniziert — aber der Zugang bleibt kontrolliert.
Bemerkenswert dabei: Anthropic zeigt nicht nur, dass sie das Modell zurückhalten, sondern erklärt auch detailliert warum. Das ist eine Form von Transparenz, die man in der Branche selten sieht.
Project Glasswing: Was mit Mythos stattdessen gemacht wird
Statt einer breiten Veröffentlichung hat Anthropic Project Glasswing ins Leben gerufen. Die Initiative nutzt Mythos Preview gezielt für defensive Arbeit: kritische Software-Infrastruktur — Betriebssysteme, Datenbankserver, Browser, aber auch Systeme in Banken, Gesundheitsversorgung und Energiewirtschaft — systematisch auf Sicherheitslücken prüfen und die Findings verantwortungsvoll an die Entwickler melden, damit Patches entstehen können, bevor Angreifer diese Lücken ausnutzen.
Partner von Project Glasswing sind unter anderem Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks — sowie über 40 weitere Organisationen, die kritische Software entwickeln oder betreiben. Anthropic stellt 100 Millionen Dollar in Nutzungskrediten für Mythos Preview zur Verfügung, dazu vier Millionen Dollar in direkten Spenden an Open-Source-Sicherheitsinitiativen: 2,5 Millionen Dollar fließen an Alpha-Omega und das Open Source Security Foundation (OpenSSF) über die Linux Foundation, 1,5 Millionen Dollar an die Apache Software Foundation.
Das Modell wird dabei in einem kontrollierten Setup betrieben: ein sogenanntes „Agentic Scaffold” — eine strukturierte Umgebung, in der Claude Code zusammen mit Mythos Preview in einem isolierten Container läuft und systematisch nach Schwachstellen sucht, ohne dabei Zugang zu produktiven Systemen zu haben.
Was das für Unternehmen bedeutet, die keine Software entwickeln
„Was hat das mit mir zu tun?” ist die berechtigte Frage von Unternehmen, die Software nutzen, aber nicht selbst entwickeln.
Die Antwort: Die Schwachstellen, die Mythos findet, stecken nicht in exotischer Nischensoftware. Sie stecken im Linux-Kernel, in Firefox, in OpenBSD und in FFmpeg — also in Komponenten, die in sehr vielen IT-Umgebungen direkt oder indirekt vorhanden sind. Server-Betriebssysteme, Browser der Mitarbeitenden, Video-Konferenztools, Cloud-Infrastruktur: Fast alles davon baut auf Open-Source-Komponenten auf, die genau die Art von langlebigen Fehlern enthalten können, die Mythos findet.
Wenn eine 27 Jahre alte Lücke im Linux-Kernel durch Project Glasswing entdeckt und gepatcht wird, profitieren davon letztlich alle — auch Unternehmen, die mit dem Thema KI-Sicherheitsforschung sonst wenig zu tun haben. Das Update landet irgendwann in den Systemen, auf denen ihre Daten liegen.
Der relevantere Aspekt für Entscheider: Mythos zeigt, dass KI-gestützte Sicherheitsforschung in eine neue Dimension eingetreten ist. Die Frage ist nicht mehr, ob KI-Systeme Sicherheitslücken finden können — sie können es, mit erheblichem Tempo und Umfang. Die Frage ist, wessen Systeme dabei gescannt werden und mit welcher Absicht. Project Glasswing ist eine konkrete Antwort auf diese Frage im defensiven Sinne. Dass die gleichen Fähigkeiten irgendwann auch im Kontext von Angriffen auftauchen werden — daran lässt sich wenig zweifeln.
Ein Präzedenzfall, der mehr bedeutet als er scheint
Ich beschäftige mich seit Langem mit der Frage, wie KI-Entwicklung und Verantwortung zusammenpassen. Die meiste Zeit klingt das nach Philosophie. Anthropics Entscheidung zu Mythos ist etwas anderes: ein konkreter Moment, in dem ein führendes Unternehmen auf messbaren Wettbewerbsvorteil verzichtet, weil es die Risiken für zu groß hält.
Das hat einen Haken, den man nicht ignorieren sollte: Mythos-ähnliche Fähigkeiten werden früher oder später in anderen Modellen auftauchen — entweder bei anderen führenden Labors oder in Open-Source-Modellen, die weniger Kontrolle über ihre Nutzung ermöglichen. Project Glasswing ist deshalb auch eine Wette auf Zeit: Wenn genug kritische Lücken geschlossen werden, bevor vergleichbare Fähigkeiten allgemein verfügbar sind, ist der potenzielle Schaden durch Missbrauch geringer.
Das ist eine vernünftige Wette. Ob sie aufgeht, hängt davon ab, wie schnell Glasswing arbeitet und wie gut die gefundenen Lücken tatsächlich gepatcht werden. Open-Source-Projekte mit kleinen Entwicklerteams und langen Patch-Zyklen sind dabei die schwache Stelle — nicht die großen Unternehmen, die ohnehin Security-Teams haben.
Was mich an der Initiative aber positiv stimmt: Sie ist keine PR-Übung. Hundert Millionen Dollar in Nutzungskrediten und vier Millionen Dollar in Open-Source-Spenden sind echte Ressourcen. Und die Liste der Partner zeigt, dass zumindest die großen Infrastrukturbetreiber mitmachen.
Was als nächstes zu beobachten ist
Für technische Teams und für alle, die Software beschaffen oder einsetzen, ergeben sich aus Mythos ein paar konkrete Beobachtungspunkte für die nächsten Monate:
Erstens: Patch-Zyklen werden wichtiger. Wenn KI-gestützte Sicherheitsforschung Lücken in bisher unerreichte Geschwindigkeit findet und meldet, müssen die Downstream-Prozesse — also die Patches und deren Einspielen — Schritt halten. Wer bereits heute Probleme hat, Software-Updates zeitnah einzuspielen, sollte diesen Punkt ernst nehmen.
Zweitens: Die Frage nach KI-gestützten Sicherheitstests wird in Unternehmen früher oder später auf die Agenda kommen. Welche Tools nutze ich, um die eigene Software proaktiv zu prüfen? Was ist heute möglich, was war vor zwei Jahren noch Science-Fiction?
Drittens: Anthropics Glasswing-Ergebnisse werden interessant zu verfolgen sein. Wie viele der gemeldeten Lücken werden tatsächlich gepatcht? In welchen Projekten stapeln sich die Findings, weil die Kapazität fehlt? Das wird zeigen, wo die eigentlichen Engpässe im Sicherheits-Ökosystem liegen.
Ich behalte das im Blick — gerade weil die Geschwindigkeit, mit der sich KI-Sicherheitsfähigkeiten entwickeln, direkte Auswirkungen auf die Frage hat, wie zuverlässig die Software ist, auf die wir alle täglich angewiesen sind.
Quellen:
Weitere Beiträge
Der große Claude-Code-Leak: Was Anthropics 512.000 Zeilen über die KI-Branche verraten
Anthropic hat versehentlich den kompletten Source Code von Claude Code geleakt. Undercover Mode, Anti-Distillation und versteckte Feature Flags – eine Analyse.
Claude Managed Agents: Anthropic baut die Cloud-Plattform für KI-Agenten – Durchbruch oder goldener Käfig?
Anthropic launcht Claude Managed Agents: gehostete KI-Agenten mit Sandboxing, Session-Management und Multi-Agent-Koordination. Was das für Entwickler bedeutet.
GitHub Copilot trainiert ab 24. April auf deinem Code: Was Entwickler und Unternehmen jetzt wissen müssen
Ab 24. April nutzt GitHub Copilot Prompts und Code-Interaktionen standardmäßig zum KI-Training. Was genau erfasst wird, wen es trifft – und wie man widerspricht.